2014-02-04
657
Смена владельца. Совмещение разрешений FAT и NTFS
Владелец любого ресурса – это пользователь, который создал этот ресурс. Например, пользователь Nik создал папку – он стал сразу владельцем этой папки, пользователь Nata создала файл – она стала владельцем этого файла. Для владельцев ресурсов в системе Windows предусмотрена специальная встроенная группа Creator Owner. Если администратор назначает доступ Modify этой группе, то это значит, что только пользователь соответствующего ресурса получит право на изменение этого ресурса т.е. только Nik сможет изменять данные в своей созданной папке и только Nata сможет изменять свой файл. Поэтому, владельцы ресурсов играют большое значение в политике ограничения доступа к ресурсам. Если работник увольняется и свои данные должен передать новому работнику, то необходимо выполнить смену владельца ресурсов, принадлежащих увольняемому работнику. Сделать должен это увольняющийся и новый работники вместе. Если они этого не сделали, то смену владельца может сделать только администратор.
|
|
|
Смена владельцев: Ни один пользователь не может сменить владельца папки или файла, даже если он сам является его владельцем. Владелец папки или файла может только разрешить другому пользователю стать владельцем. Разрешение устанавливается как любое другое разрешение в закладке Security – Change Permission. Исключение составляет администратор. Он может взять владение на себя любым ресурсом без разрешения прежнего владельца.
Таким образом, для смены владельца нужно:
1) владелец должен установить разрешение для другого пользователя брать владение на себя^
в закладке Security – Change Permission
2) другой пользователь после этого должен взять владение на себя:
в закладке Security – Take Ownership
Эти правила составлены с точки зрения безопасности (чтобы никто не смог от имени другого пользователя менять настройки в разрешениях)
При доступе по сети к папке, которая открыта как общая, действуют два набора разрешений:
1) Shared - разрешения FAT
2) Security – разрешения NTFS
При таких двойных разрешениях действует следующее правило:
Действует то разрешение, которое наиболее ограничивает доступ-. минимальное разрешение
Например:
| Shared | NTFS | результат при доступе через сеть | результат при доступе локально |
| Read | Full Control | Read | Full Control |
| Full control | Read | Read | Read |
В этой таблице приведено 2 примера. В первом из них к одной папке установлено 2 разрешения: в закладке Shared – Read и в закладке Security (NTFS) - Full Control.
При работе непосредственно на компьютере (локально) разрешения в закладке Shared не играют никакого значения, а проверяются только разрешения Security. Поэтому, при локальном доступе результирующим разрешением будет то, что установлено в Security т.е. Full Control. При доступе к папке через сеть будут действовать оба разрешения, однако результирующим будет минимальный доступ из двух т.е. Read.
|
|
|
Внимание!
1. По умочанию всегда устанавливается разрешение для всех ресурсов everyone - full controll. Это очень небезопасно для защиты доступа!!! Поэтому группу everyone лучше заменять на группу Authenticated Users
2. Все измененные разрешения начинают действовать только после повторного входа пользователя в систему. Пока пользователь работает в системе – все изменения его доступа, внесенные после его входа не действуют.
